Sicherheit


Sicherheit bei der Verarbeitung von personenbezogenen Daten


Doctena trifft die folgenden technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten:

  1. Engagiertes organisatorisches und persönliches Management, das für die Entwicklung, Implementierung und Pflege des Informationssicherheitsprogramms von Doctena verantwortlich ist.
  2. Audit- und Risikobewertungsverfahren, um die Risiken für die Doctena-Organisation regelmäßig zu überprüfen und zu bewerten, um die Einhaltung der Doctena-Richtlinien und -Verfahren zu überwachen und aufrechtzuerhalten und um den Status der Informationssicherheit und der Compliance an die interne Geschäftsleitung zu kommunizieren.
  3. Pflegen Sie die Richtlinien zur Informationssicherheit und stellen Sie sicher, dass die Richtlinien und Maßnahmen regelmäßig überprüft und ggf. verbessert werden.
  4. Die Kommunikation mit Doctena-Anwendungen verwendet kryptografische Protokolle wie TLS, um Informationen bei der Übertragung über öffentliche Netzwerke zu schützen. Am Netzwerkrand werden Stateful Firewalls, Web Application Firewalls und DDoS-Schutz eingesetzt, um Angriffe herauszufiltern..
  5. Datensicherheitskontrollen, die eine logische Trennung von Daten, eingeschränkten Zugriff und Überwachung (z. B. rollenbasiert) und gegebenenfalls die Verwendung von handelsüblichen, dem Industriestandard entsprechenden Verschlüsselungstechnologien umfassen.
  6. Logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen entsprechend den Berechtigungsstufen und Funktionen (z. B. Gewährung des Zugriffs auf der Basis von "Need-to-know" und "Least Privilege", Verwendung eindeutiger Benutzer-IDs und Passwörter für alle Benutzer, Durchführung regelmäßiger Überprüfungen und sofortiger Entzug oder Änderung des Zugriffs bei Beendigung oder Änderung der Funktion).
  7. Passwortkontrollen zur Verwaltung und Kontrolle der Stärke und Verwendung von Passwörtern, einschließlich des Verbots der gemeinsamen Nutzung von Passwörtern durch Benutzer.
  8. System-Auditing oder Ereignisprotokollierung und zugehörige Überwachungsverfahren zur proaktiven Aufzeichnung von Benutzerzugriffen und Systemaktivitäten für Routineüberprüfungen.
  9. (i) Informationswerte vor unbefugtem physischen Zugriff zu schützen, (ii) die Bewegungen von Personen in und aus den Einrichtungen des Rechenzentrums zu verwalten, zu überwachen und aufzuzeichnen und (iii) vor Umweltgefahren wie Hitze, Feuer und Wasserschäden zu schützen.
  10. Betriebliche Verfahren und Kontrollen zur Sicherstellung der Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen gemäß vorgeschriebenen internen Standards und übernommenen Industriestandards.
  11. Änderungsmanagementverfahren und Nachverfolgungsmechanismen sind so konzipiert, dass alle Änderungen an den Technologie- und Informationsbeständen von Doctena getestet, genehmigt und überwacht werden.
  12. Die Verfahren für das Vorfall- und Problemmanagement sind so konzipiert, dass Doctena in der Lage ist, Ereignisse im Zusammenhang mit der Technologie und den Informationsbeständen von Doctena zu untersuchen, einzudämmen, zu melden und darauf zu reagieren.
  13. Netzwerksicherheitskontrollen, die den Einsatz von Unternehmens-Firewalls und mehrschichtigen DMZ-Architekturen sowie Intrusion-Detection-Systeme und andere Verfahren zur Korrelation von Datenverkehr und Ereignissen umfassen, um Systeme vor Eindringlingen zu schützen und die Reichweite eines erfolgreichen Angriffs zu begrenzen.
  14. Technologien zur Schwachstellenbeurteilung, Patch-Verwaltung und zum Schutz vor Bedrohungen sowie planmäßige Überwachungsverfahren, die darauf ausgelegt sind, identifizierte Sicherheitsbedrohungen, Viren und anderen bösartigen Code zu identifizieren, zu bewerten, zu entschärfen und vor ihnen zu schützen.
  15. Resilienz-/Business-Continuity- und Disaster-Recovery-Verfahren, gegebenenfalls zur Aufrechterhaltung des Dienstes und/oder Wiederherstellung nach vorhersehbaren Notfällen oder Katastrophen.
    
    

vc

Unser Engagement für Sicherheit 


Wir nehmen Sicherheit und Datenschutz bei Doctena sehr ernst. Der Schutz der Daten unserer Kunden und ihrer Patienten ist uns sehr wichtig und wir haben als Unternehmen eine Reihe von Maßnahmen ergriffen, um die Sicherheit dieser Daten zu gewährleisten!

Sicherheit ist für uns nicht nur ein Wort, sondern ein Konzept, das man sich täglich zu eigen machen und umsetzen muss. Deshalb gehen wir die Sicherheit von mehreren Standpunkten aus an.


Feste Mitarbeiter und Verantwortlichkeiten


Doctena verfügt über einen festen Chief Information Security Officer (CISO). Er ist ein Senior-Mitarbeiter mit einem Master-Abschluss in Sicherheit und verfügt über einen professionellen Hintergrund in der Computersicherheit. Seine Aufgabe ist es, dafür zu sorgen, dass die Sicherheit ein täglicher Schwerpunkt bleibt. Dies tut er durch die Implementierung von Prozessen und Technologien sowie durch die Koordination der verschiedenen Teams und Geschäftsbereiche rund um das Thema Sicherheit. Er berichtet direkt an unseren Chief Information Officer (CIO) und auch an unseren Group Chief Executive Officer (CEO), um sicherzustellen, dass der Fokus auf Sicherheit auf der obersten Führungsebene beginnt.


Sicherheit per Design


Immer wenn wir innovieren und an neuen Produkten und Funktionen arbeiten, ist der Punkt “Sicherheit” einer der ersten Schritte auf der Checkliste. Auf diese Weise können wir sicher sein, dass wir unsere Produkte mit Blick auf Sicherheit konzipieren und die technologischen und organisatorischen Entscheidungen treffen, die zu sicheren Implementierungen führen.


Multidimensionale Sicherheitsinfrastruktur

Wir verwenden mehrere bekannte Industriestandardlösungen, um unsere Plattformen permanent zu überprüfen und vor möglichen Sicherheitsproblemen zu schützen:

- Eine Web Application Firewall, die unsere erste Verteidigungslinie gegen gängige Bedrohungen wie Distributed Denial of Service (DDOS) und bösartige Webanfragen ist. Dazu gehört auch die automatische Blockierung bekannter Bad-Reputation-Quellen (z.B. Dark Web) im Internet.
- Eine Plattform für automatisierte Penetrationstests, die unsere Plattformen regelmäßig scannt und unsere Entwicklungsteams benachrichtigt, wenn ein potenzielles neues Sicherheitsrisiko (z.B. eine kürzlich entdeckte Schwachstelle) besteht, so dass wir sofort Korrekturmaßnahmen ergreifen können.
- Eine Plattform zur statischen Codeanalyse, die ein noch höheres Maß an Sicherheit bietet, indem sie sich unseren sich ständig weiterentwickelnden Code ansieht und jeden möglichen Einstiegspunkt in unsere Anwendung bewertet. Sie erkennt und benachrichtigt unsere Entwicklungsteams, wenn sie etwas übersehen haben.
- Unsere Tools zur Software composition analysis ermöglichen es uns, die externen Abhängigkeiten (Bibliotheken), die von unserem Code verwendet werden, auf Schwachstellen zu scannen.
- Ein Intelligentes Angriffsvermeidungssystem, das mittels KI normales Verhalten lernt und uns benachrichtigt, sobald verdächtige, ungewöhnliche Aktivitäten auf der Plattform entdeckt werden. Solche Sicherheitsrisiken werden durch dieses System automatisch verhindert und informiert unser Sicherheitsteam über diese Aktivitäten für Folgeaktionen.

Diese Dienstleistungen haben ihren Preis, und Doctena setzt einen Großteil Teil seines IT-Budgets für diese Sicherheitstools ein, denn wir wissen, wie wichtig dies ist für Sie, aber auch für das Überleben unseres Unternehmens.


Pseudonymization

In unseren Testumgebungen oder auf lokalen Entwicklergeräten werden keine echten Patientendaten verwendet.
Unsere Business Intelligence Abteilung erhält nur Zugriff auf vollständig anonymisierte Daten.
Wir versenden niemals E-Mails mit persönlichen Daten von Patienten. Wenn persönliche Daten per E-Mail versendet werden müssen, werden sie anonymisiert versendet.


Automatisierte Sicherheitsupdates

Als Teil unseres Continuous-Deployment-Systems spielen wir wöchentlich, bei den meisten sogar fast täglich, die neuesten Sicherheitsupdates in alle unsere Systeme ein. Das bedeutet, dass auch ohne dass unsere Sicherheitsteams über neu veröffentlichte Sicherheitspatches Bescheid wissen müssen, werden diese automatisch bei jeder Bereitstellung einer neuen Version unserer Software eingebunden..


Verschlüsselung

Alle unsere Datenbanken werden im Ruhezustand mit dem Industriestandard 256-Bit-AES-Algorithmus verschlüsselt.
Passwörter werden niemals im Klartext gespeichert, sondern in einem umkehrbaren Hash-Verfahren
Wo technisch möglich, werden hochsensible Daten wie Arzt- und Patientennotizen zusätzlich auf Ebene der Datenbankfelder verschlüsselt.
Alle Laptops und Computer unserer Mitarbeiter sind verschlüsselt und wir setzen strenge Sicherheitsprotokolle mit ihnen durch.
Bei der gesamten Kommunikation wird eine dem Industriestandard entsprechende Verschlüsselung für "Data in Transit" verwendet, die sicherstellt, dass kein Dritter die Kommunikation zwischen unserer Plattform und dem Webbrowser des Benutzers bei der Nutzung der Plattform abfangen kann.


Isolierte Umgebungen

Wir haben vier vollständig isolierte Umgebungen, die jeweils ihre eigenen dedizierten Server mit unterschiedlichen Anmeldeinformationen pro Umgebung haben, um sicherzustellen, dass ein potenzieller Einbruch in einer von ihnen nicht den anderen beeinflussen.


Testen – Wird von der Entwicklung verwendet, um neuen Code auszuprobieren
Staging – Eine isolierte Umgebung, die der Produktion am ähnlichsten ist, wird als letzter Schritt vor der Übergabe des Codes an die Produktion verwendet
Produktion – Hochgradig überwachte Umgebung, zu der nur eine begrenzte Anzahl von Personen Zugang hat
Demo – dentische Umgebung wie die Produktion, nur mit Daten von potentiellen Kunden, die das System testen wollen


Versionskontrolle

Unsere Code wird mit einem Versionskontrollsystem und verschiedenen Branchen pro Umgebung vollständig überwacht. Dies ist Teil unseres Änderungsprozesses, der es uns erlaubt, klar zu sehen, wer welchen Code hinzugefügt hat und zu welcher Zeit. Jede neue Ergänzung des Codes wird von einem Senior-Teamleiter überprüft und löst automatisierte Tests unserer gängigsten Geschäftslogik aus. Nur Projektleiter können den Code für die Produktion und Demo-Umgebungen.

infraascode

Wiederherstellung im Notfall

Ein wichtiges Element unseres kontinuierlichen Deployment-Systems ist die Tatsache, dass unsere gesamte Infrastruktur durch Code und nicht durch manuelle Konfiguration definiert ist. Dies erlaubt uns, schnell identische Umgebungen und Server-Konfigurationen einzurichten, die keinen Raum für manuelle Fehler oder Sicherheitsfehler lassen. Es erlaubt uns auch, unsere Produktionsserver automatisch zu skalieren, wenn mehr Leistung benötigt wird, ohne dass wir bei möglichen Fehlern manuell eingreifen müssen.

HA

Hohe Verfügbarkeit

Alle unsere Datenbanken sind hochverfügbar eingerichtet, so dass sich alle Daten zu jedem Zeitpunkt in mindestens 2 geografisch isolierten Rechenzentren befinden. Täglich wird eine automatisierte Momentaufnahme aus diesen Datenbanken für die Notfallwiederherstellung in Kombination mit einer weiteren täglichen Disaster Recovery Kopie, die in einer hochsicheren und verschlüsselten Speicherlösung in einem anderen Rechenzentrum gespeichert wird. Die Webserver, die unsere Dienste bereitstellen, sind ebenfalls hochverfügbar eingerichtet.

Überwachung und Alarmierung

Alle wichtigen Server und Ressourcen werden mit speziellen Tools überwacht, die uns alarmieren, in der Regel noch bevor etwas wirklich schief geht. So kann unser Infrastruktur-Team die erforderlichen Teams schnell informieren, um zu handeln.

Sicherheitsaudits

Einmal im Jahr werden unsere Plattformen von einem anerkannten IT-Sicherheitsunternehmen geprüft, das auch große und komplexe Banksysteme auf Sicherheit und Ausfallsicherheit zertifiziert. Die Ergebnisse dieser Audits werden von unseren IT-Teams analysiert und umgesetzt, so dass die Auditgesellschaft uns ein Zertifikat ausstellen kann, das unser hohes Sicherheitsniveau belegt.


ISO27001


Um einen weiteren Beweis für unser Sicherheitsniveau zu erbringen, arbeitet Doctena an der Zertifizierung nach ISO27001. Wir haben bereits ein solides internes Informationssicherheits-Managementsystem eingeführt, das intern strenge Richtlinien und Verfahren vorschreibt, und wir werden uns bald für diese Zertifizierung entscheiden, um Ihnen ein noch höheres Maß an Vertrauen in unsere Systeme zu geben.


ISO/IEC 27001:2013 (ISO 27001) ist die internationale Norm, die die besten Verfahrensweisen für ein ISMS (Informationssicherheits-Managementsystem) beschreibt. Der Erhalt einer akkreditierten Zertifizierung nach ISO 27001 belegt, dass Ihr Unternehmen die besten Verfahrensweisen im Bereich Informationssicherheit befolgt, und stellt eine unabhängige sachkundige Überprüfung dar, dass das Management der Informationssicherheit im Einklang mit besten internationalen Verfahrensweisen und Unternehmenszielsetzungen erfolgt. Die ISO 27001 wird durch den Leitfaden für Informationssicherheitsmaßnahmen ISO/IEC 27002:2013 unterstützt.


Erfolgsbilanz


Seit der Unternehmensgründung ist es bei Doctena noch niemals zu irgendwelchen Sicherheitsverletzungen gekommen!